ルータ、無線ルータ、ハブの設定方法

15 TCP netstat  

43 TCP/UDP whois  

67 TCP/UDP bootp 外部に公開する必要はない

69 TCP/UDP tftp 外部からはフィルタリング

69 TCP/UDP Oracle SQL*Net オラクルを使用している場合はフィルタリング

70 TCP/UDP gopher Gopherを使用しなければフィルタリング

79 TCP/UDP finger ユーザ情報が漏れるためフィルタリング

87 TCP/UDP link よく狙われる

95 TCP/UDP supdup よく狙われるためフィルタリング

109 TCP/UDP POP2 POP2を使用していることが問題

110 TCP/UDP POP3 APOPやSSHを使用したポートフオワーディングを推奨

137 TCP/UDP NetBIOS ネームサービス 必ずフィルタリング 138 TCP/UDP NetBIOS データグラムサービス 必ずフィルタリング 139 TCP/UDP NetBIOS セッションサービス 必ずフィルタリング

111 TCP/UDP sunrpc プログラムの使用ポートが漏れるためフィルタリング

161 TCP/UDP SNMP 外部には公開すべきではない

162 TCP/UDP SNMP TRAP 外部には公開すべきではない

177 TCP/UDP xdmcp Xのログインに使用するxdmが使用する

201 TCP/UDP AppleTalk ルーティングメンテナンス   204 TCP/UDP AppleTalk Echo   202 TCP/UDP AppleTalk ネームバインディング   206 TCP/UDP AppleTalk ゾーン情報  

213 TCP/UDP IPX  

220 TCP/UDP imap3 使用していなければフィルタリング

445 TCP/UDP Microsoft DS  

512 UDP biff 必ずフィルタリング

512 TCP exec 必ずフィルタリング

513 TCP login 必ずフィルタリング

513 UDP who 必ずフィルタリング

515 TCP/UDP printer 外部にプリンタを公開する必要はない

517 TCP/UDP talk  

518 TCP/UDP ntalk  

520 UDP route  

540 TCP/UDP uucp 使用しないのであればフィルタリング

1025 TCP/UDP listner  

1433 TCP/UDP Microsoft SQL Server SQL Serverを使用している場合はフィルタリング 1434 TCP/UDP Microsoft SQL Monitor SQL Serverを使用している場合はフィルタリング

2049 TCP/UDP NFS 必ずフィルタリング

2766 UDP listen  

3268 TCP/UDP Microsoft GC グローバルカタログ 3269 TCP/UDP Microsoft GC グローバルカタログ

5631 TCP pcANYWHERE data  

5632 UDP pcANYWHERE stat  

6000-6063 TCP/UDP X11 Xで使用するポートはすべてふさぐ

■使用するポートのみ開ける

  これは、簡単な設定のように思えます。しかし、単純に設定を行うと LAN側からも通信できない等 の現象を引き起こします。この作業は、TCP/IP を理解していないと行えない設定作ですので注意が必 要です。

2) アクセスログの記録

  侵入や攻撃があったときに、その身元を調べるにはアクセスログをチェックします。ほとんどのルー タには、このアクセスログを記録し、データを保存する機能が付いています。必ずアクセスログを記録 するように設定してください。

4.2.2.  無線ルータ（無線 LAN）の設定方法

  家庭内などでは、無線 LANの機能が付いたルータを使ってインターネットに接続している方も多い と思います。しかし、この無線ルータには盗聴などの危険が潜んでいるのです。

  無線ルータの設定には以下の点に注意します。

1) ESS-IDの通知とANYキー接続

  無線ルータの設定ソフトやOSに搭載されたツールを起動すると、利用できるアクセスポイントの一 覧が表示されます。特に設定を行っていない状態でESS-IDが表示されるのは、ESS-IDが埋め込まれ たビーコン信号をアクセスポイントが定期的に発しているためです。

  この状態では、電波が届く範囲にあるコンピュータ全てに、アクセスポイントのESS-IDが分かって しまいます。不正な接続をなくすために、ESS-IDの通知は行わない設定としたほうがよいでしょう。

  また、ANY キー接続を許可する設定になっていると、アクセスポイントは ESS-ID が設定されてい ないコンピュータの接続も許可してしまいます。こちらもANYキー接続を拒否するようにしたほうが よいでしょう。

2) WEP

  ESS-ID を隠すように設定しても、通信を盗聴された場合には意味を持たなくなってしまいます。こ

れは無線ルータのヘッダ部分にESS-IDの情報が書き込まれているためです。

  盗聴に対しての基本的な対策は、通信を暗号化することです。無線ルータの暗号化技術の 1 つに

「WEP」があります。無線ルータでの設定は、WEP を有効に設定し、WEP で使用するキーを文字列 か16進数で入力するだけです。入力する桁数は決まっており、文字入力の場合は、5文字、または13 文字です。

  そして、接続するコンピュータ側でも同じWEPキーを使用するように設定します。

3) WPA

  WEP は暗号化の仕組みが単純なこともあって、セキュリティの脆弱性を指摘されることが多くなり ました。

  WEP のセキュリティ機能を強化し、認証技術なども定められた規格が WPA です。暗号化技術とし ては一定時間ごとに暗号鍵が変わる「TKIP」と呼ばれる方式を使うことができます。

  無線ルータで設定するのは、暗号鍵のもととなる「WPA-PSK」です。WEPキーと同じように文字列 か 16 進数で入力します。キーの更新間隔は、無線ルータの負荷を減らすために、長めに設定したほう がよいと思います。

  接続するコンピュータ側でも同じWEPキーを使用するように設定します。

4.2.3.  ハブの設定方法

  通信機器の中で、ハブに関してセキュリティの対策が必要と感じている人は少ないようです。しかし、

このハブを軽視すると重大な事態を招く恐れがあります。

  難しい技術を使わなければならないものもありますが、ここでは簡単にセキュリティを高めることが できる方法を解説します。

1) スイッチングハブの導入

  まず、ネットワークの規模に関わらず、スイッチングハブを導入してください。高価なものを導入す る必要はありません。

  盗聴の項で解説したように、シェアードハブのままだと、そのLANをふだんから使用している方は もちろんのこと、仮に外来者がネットワークの調査と偽り、持ち込んだノートパソコンをハブに接続し ネットワークのモニタを始めたときから、全てのデータは盗聴されるのです。

  しかし、スイッチングハブをはじめとするスイッチング装置をネットワークの途中に置くことによっ て、ポートと相手以外にはデータが流れなくなります。これによって、最小限度の被害で済むこととな るのです。

■ポート利用の制限

  ポートごとに接続できる端末を限定することも重要です。これにより、不正なポート利用を防ぐこと ができます。ただし、これはある一定以上の機能を実装したハブででしか行えません。